데일리시큐는 2023년 창간 10주년을 맞아 국내 분야별 핵심 보안솔루션을 소개하고자 한다.
여기서는 최근 보안 기술 분야 중에서 빠르게 성장하고 핵심 보안 플랫폼으로 인정 받고 있는 SOAR(Security Orchestration, Automation, and Response)에 대해 알아보고 국내 주요 SOAR 플랫폼 이글루코퍼레이션의 ‘스파이더 쏘아’를 소개하고자 한다.
보안 오케스트레이션, 자동화, 대응(SOAR) 플랫폼은 단순한 사고 대응 툴을 넘어 진화했다. 일상적인 작업을 자동화하고, 복잡한 워크플로우를 조율하며, 다양한 보안 툴 간의 협업을 강화하는 등 사이버 보안 팀의 역량을 배가하는 역할을 한다.
조직은 다양한 보안 툴을 통합하는 데 어려움을 겪고 있다. 다양한 기술과 원활하게 통합되는 SOAR 플랫폼은 사이버 보안에 대한 총체적인 접근 방식을 제공함으로써 공격자와 경쟁에서 우위를 확보할 수 있다.
특히 SOAR 플랫폼은 협업을 촉진해 인간 분석가가 중요한 의사 결정 프로세스에 대한 통제권을 유지할 수 있도록 지원하고 또 규제 환경이 날로 엄격해짐에 따라 조직은 규정 준수를 지원하는 SOAR 솔루션을 찾고 있다. 보안 인시던트를 효율적으로 문서화하고 보고할 수 있는 기능이 SOAR 플랫폼 선택의 핵심 기준이 되고 있다.
◆SOAR 시장의 새로운 트렌드
SOAR 플랫폼은 위협 탐지를 강화하고 대응 프로세스를 자동화하기 위해 고급 분석과 인공 지능(AI)을 점점 더 많이 통합하고 있다. 머신 러닝 알고리즘은 패턴과 이상 징후를 식별하는 데 중추적인 역할을 해 선제적인 사이버 보안 조치를 가능하게 한다.
또 클라우드 기반 인프라로의 마이그레이션은 클라우드 중심 SOAR 솔루션으로의 전환을 촉진했다. 이는 확장성을 보장할 뿐만 아니라 분산되고 동적인 보안 환경을 가진 조직의 요구 사항을 해결한다.
한편 SOAR와 XDR 플랫폼의 통합이 대세다. 이러한 통합은 조직에 탐지, 대응, 오케스트레이션을 포괄하는 통합된 엔드투엔드 보안솔루션을 제공하는 것을 목표로 한다.
◆SOAR 시장의 미래
조직이 사이버 보안 태세를 강화하는 데 있어 이러한 플랫폼이 필수적인 역할을 한다는 사실을 인식함에 따라 SOAR 시장은 더욱 확대될 전망이다. 위협 행위자가 더욱 정교해짐에 따라 자동화되고 정교한 대응 필요성은 더 이상 거스를 수 없는 대세가 됐기 때문이다.
미래의 SOAR 플랫폼은 인간과 기계의 협업 성숙도를 높이는 데 초점을 맞출 것으로 보인다. 자동화가 인간의 전문성을 대체하는 것이 아니라 보완하는 적절한 균형을 유지하는 것이 성공의 핵심 지표가 될 것이다.
한편 SOAR 플랫폼은 더 광범위한 위협 인텔리전스 소스와 통합되도록 진화할 것이다. 이를 통해 조직은 실시간 인텔리전스를 활용한 선제적 방어 전략으로 새로운 위협에 한발 앞서 대응할 수 있게 될 전망이다.
사이버 보안 프레임워크에 SOAR를 전략적으로 수용하고 통합하는 조직은 진화하는 위협 환경에 자신감과 회복력을 가지고 대처할 수 있는 역량을 갖추게 될 것이라고 전문가들은 보고 있다.
◆SOAR로 보안 환경 레벨 UP
디지털 트랜스포메이션의 가속화로 공격 표면이 넓어지면서, 보안 경보는 늘어났고 보안관제센터(SOC)에서 사용하는 보안 도구들은 복잡해졌다. 이로 인해 피로한 보안 담당자들이 경보에 점점 둔감해지면서, 주의를 기울여야 하는 경보를 놓치는 일이 종종 발생하고 있다. 이러한 경보 피로(alert fatigue)와 SOC의 복잡성을 해소하기 위해, ‘보안 운영·위협 대응 자동화(SOAR)’ 솔루션 도입을 원하는 기업·기관이 늘어나고 있다.
◆이글루코퍼레이션의 ‘스파이더 쏘아(SPiDER SOAR)’
이글루코퍼레이션은 2017년 SOAR 솔루션 개발에 착수해, 2020년 스파이더 쏘아(SPiDER SOAR)를 출시했다. 특히, 20년 이상의 보안 경험을 토대로 각 조직 상황에 부합하는 공격 대응에 최적화된 SOAR 솔루션을 만드는 데 중점을 뒀다.
SOAR에 대한 보안 전문가들의 평가는 대체로 긍정적이다. 특히 보안관제 전문가들은 날로 업무 강도가 높아지고 있지만 전문 인력을 확충하기는 어려운 SOC의 딜레마를 해결할 수 있는 기술로 보고 있다. 실제로 SPiDER SOAR를 도입한 한 고객사의 결과 보고서에 따르면, SPiDER SOAR 도입 후 기존에 보안 인력이 100% 처리하던 위협 분석 및 대응 작업 중 약 83%를 SOAR가 자동 대응하고, 하루 200건이었던 대응 건수 역시 자동 대응 포함 4,600건으로 늘었다. 위협 대응 시간은 보안 인력이 직접 대응할 때는 15~45분이 걸렸지만, 플레이북(Playbook) 자동 대응은 평균 12초에 처리가 완료되는 것으로 나타났다. 즉 보안 자동화를 통해 더 빠르고 많은 대응을 통해 선제 대응과 공격 억제 효과를 보고 있다.
◆활용도 높은 자동화 기능을 제공하는 ‘SPiDER SOAR’
▶국내 SOC에서 운영 중인 주요 보안 솔루션과의 긴밀한 연동을 지원
SOAR가 지휘자 역할을 하기 위해서는 보안 정보 및 이벤트 관리(SIEM)부터 머신러닝 기반의 시스템, 위협 인텔리전스, 자산정보 및 취약점 관리 시스템 등 다양한 이기종 보안 솔루션과의 연동이 필수다. 이글루코퍼레이션은 방화벽부터 IPS, EDR까지 국내 공공기관과 기업이 많이 사용하는 보안 솔루션을 조사 분석해 대부분을 연동 및 자동 차단이 가능하도록 했으며, 이글루 연합이란 협약 모델을 통해 연동 솔루션을 계속 확대하고 있다.
▶수많은 고객사에서 효율성을 검증받은 플레이북
이글루코퍼레이션 고유의 보안 노하우를 기반으로 표준 플레이북이 적용된 SOC의 프로세스를 지속적으로 분석해 플레이북을 최적화하고 있다.
▶SPiDER SOAR의 구축 과정: 솔루션 설치를 넘어 보안 프로세스 최적화까지
이글루코퍼레이션은 SIEM과 AI 시스템과의 효율적인 운영을 위한 최적의 연계 방안을 구성하고 SOAR 기반 관제 프로세스 및 대시보드를 구성해 보안 프로세스 자체를 SOAR 중심으로 재편하도록 지원한다.
◆SOAR를 효율적으로 쓰기 위해 준비해야 할 것들
기업은 SOAR 솔루션 도입에 앞서, 우선 자동화 관제 전환에 맞춰 조직의 역할 변화도 준비를 해야 한다. 경보 대응 중심의 실시간 관제는 SOAR를 통해 자동 대응 처리하고, 사람은 분석 관제 중심으로 역할 변화도 필요하다.
조직이 사용 중인 수많은 보안 솔루션과 조직의 보안 환경을 잘 반영할 수 있는지 따져보아야 한다. 아무리 많은 보안 솔루션 연동을 지원한다고 할지라도 해당 조직이 도입한 보안 솔루션, 보안 업무환경과 연계되지 않는다면, 자동화 기능을 구현하기가 어렵기 때문이다. 따라서 SOAR 도입 시에는 기존에 사용 중인 보안 솔루션과의 연동 여부와 함께, 해당 솔루션 제공 기업이 SOAR를 기반으로 보안관제 프로세스를 재설계할 수 있는 역량을 보유했는지 확인하는 과정이 필요하다.
또한, 제공되는 ‘플레이북’이 해당 조직에 최적화되어 있는지를 따져볼 필요가 있다. 대규모 SOC와 1-2인 사이트를 아울러 조직의 업무와 인력 운영 현황, 위협에 대한 이해가 선행될 때, 비로소 조직에 부합하는 업무 자동화 매뉴얼인 ‘플레이북’을 만들어 낼 수 있기 때문이다. 다시 말해, 얼마나 많은 플레이북이 제공되느냐보다는 실제로 자동 대응 기능을 사용할 수 있는 플레이북이 몇 개인지, 플레이북을 최적화할 수 있는지, 플레이북 활용을 위한 전문가 지원이 뒷받침되는지를 확인하는 것이 더 중요하다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
